بوت کیت BlackLotus یه بدافزار از نوع UEFI bootkit هستش که امکان دور زدن Secure Boot ویندوز 11 ، دور زدن محصولات امنیتی ، قابلیت پرسیست و اجرای پیلودهای مختلف با امتیاز بالا رو داره. برای آشنایی با این بدافزار میتونید این پست رو مشاهده کنید.
این بوت کیت در ابتدا از یه آسیب پذیری به شناسه CVE-2022-21894 که به Baton Drop هم معروفه برای دور زدن مکانیسم Secure Boot و ویژگی های امنیتی استفاده میکرد که مایکروسافت در ژانویه اونو اصلاح کرد.
در ادامه یه آسیب پذیری دیگه با شناسه CVE-2023-24932 برای دور زدن این اصلاحیه پیدا شد و در نتیجه بدافزار دوباره به کارش ادامه داد. در نهایت مایکروسافت یه اصلاحیه دیگه برای اون منتشر کرد. البته این بروزرسانی هم مشکلاتی رو داشت که باید یسری کارهای دستی هم انجام داده میشد و اگه اشتباهی رخ میداد ممکن بود سیستم عامل بالا نیاد یا سیستم بوت نشه. در نتیجه بطور پیش فرض اونو غیرفعال کرد و یه گزینه اختیاری شد.
BlackLotus در ابتدا با قیمتی کمتر از 5000 دلار در فرومها به فروش میرفت و به هکرها با هر سطحی این امکان رو میداد تا قابلیت هکر های پیشرفته مورد حمایت دولتها رو داشته باشن.
سورس کد این بدافزار بصورت خصوصی نگهداری میشد و اگه بازیگر تهدیدی علاقمند بود اونو سفارشی سازی کنه برای هر rebuild مبلغ 200 دلار میگرفتن.
سه روز پیش سورس کد این بدافزار توسط یه کاربری بنام Yukari در گیتهاب منتشر شده. نسخه منتشر شده نسخه 2 این بدافزار هستش و البته سورس کد حاوی آسیب پذیری Baton Drop نیست و بجای SHIM loaders از bootlicker UEFI rootkit استفاده میکنه که مبتنی بر روتکیتهای CosmicStrand و MoonBounce و ESPECTRE هستش.
آقای Alex Matrosov یکی از بنیانگذاران و مدیرعامل Binarly گفته که سورس کد منتشر شده، کامل نیست و عمدتا شامل بخش های بوت کیت و روت کیت برای دور زدن Secure Boot هستش. این تکنیکها جدید نیستن اما نشت سورس کدها به عوامل تهدید این امکان رو میدن که بوت کیت رو با آسیب پذیری های جدید شناخته شده یا شناخته نشده bootloader ها ترکیب کنن . ایشون گفتن که خیلی از این تکنیکها و ترفندها برای سالهای قبل هستش و تاثیر قابل توجهی نداره.
با این همه با توجه به اینکه اصلاحیه های مایکروسافت بصورت اختیاری بوده و قدرتی که این بوت کیتها به بازیگران تهدید میدن، همچنان میتونه خطرناک و تهدید کننده باشه.
برای این بوت کیت ، NSA هم یه راهنما منتشر کرده.
سورس کد در کانالمون هم قابل دسترس هستش.